DNSChanger, una moda... ¿de 2008?

De -

 De vez en cuando, alguien lanza la voz de alarma, y se pone de "moda" alguna familia de malware, independientemente de su peligrosidad. Leemos en titulares lo que parece ser el apocalipsis del
malware. Lo peor es sospechar que la moda es en realidad de 2008.
Con titulares como "Llega un virus alta peligrosidad "DNS Changer"" y frases como "diversos organismos de seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus DNS Changer, [...] de
difícil erradicación en los ordenadores afectados." Desinforman y meten el miedo en el cuerpo, alejando al usuario de otros peligros mucho más reales y complejos. Veamos qué está pasando realmente.


buscamos por "Dnschanger" en la base de datos de Virus Total . Esto siempre tiene sus riesgos, puesto que la nomenclatura actual de las firmas es un absoluto desastre, y pocas veces se ponen de acuerdo. Aun así los resultados, ordenados por las veces que han llegado, son de las últimas dos semanas.


Comprobamos que unos pocos bichos de 2008-2009 han "vuelto" y han sido muy enviados en las últimas semanas. El primero, con 1.282 envíos, ni siquiera es un DNSChanger, sino un keygen para piratear un programa comercial. Así que tenemos muy pocas muestras de 2012 catalogadas más o menos de forma unánime como DNSChanger, pero sí algunas que, desde 2008, han vuelto a la "brecha" volviendo a ser muy enviadas a VirusTotal.


¿Se ha puesto de moda malware de 2008?
Pues eso parece. Leyendo las características de ese DNSChanger, vemos que su principal objetivo es modificar los servidores DNS en local de la máquina hacia estos rangos:

85.255.112.0 hasta 85.255.127.255
67.210.0.0 hasta 67.210.15.255
93.188.160.0 hasta 93.188.167.255
77.67.83.0 hasta 77.67.83.255
213.109.64.0 hasta 213.109.79.255
64.28.176.0 hasta 64.28.191.255

Efectivamente, analizando la muestra que más veces ha llegado en las últimas dos semanas, vemos que, tras un menú que simula ser un programa de codecs. Termina cambiando los DNS. El programa hace poco más (crea ficheros con nombres como freebsd.exe y notepad.exe en el temporal, no se sabe bien
por qué).

Ahora, con estos DNS, Google no va donde debería, por ejemplo:

Analizando estos troyanos, hemos recordado anuncios anteriores en UAD,
por ejemplo
http://unaaldia.hispasec.com/2008/12/la-familia-de-malware-dnschanger.html.
Donde se hablaba de mejoras en este malware. Curiosamente, el rango de
direcciones IP de los DNS falsos sigue siendo el mismo. Tras varias
muestras, se consigue extraer estos DNS falsos:

85.255.113.205, 85.255.112.144, 85.255.114.75, 85.255.112.212,
85.255.116.71 y 85.255.112.63.

Efectivamente, en el rango anunciado.

¿Es un "revival" de un malware antiguo?

Tampoco se puede asegurar totalmente, pero todo indica que más o menos
es así. todo apunta a que es esto lo que está ocurriendo. Aunque también puede ser que estemos hablando de malware que no está en VirusTotal, o que no hemos sabido encontrar por ese nombre...
quién sabe.
 Desde luego, si es el caso, este malware no es en absoluto de "difícil
erradicación"... basta con cambiar los DNS locales de la máquina. Y su
peligrosidad es muy limitada comparada con la sofisticación que podemos
encontrar ahí fuera.

Protegerse de verdad

Como siempre que hay una alerta mediática, aparecen métodos y
herramientas para protegerse. En realidad el método más eficaz para
evitar que algo o alguien te modifique los DNS ya está inventado: son
los permisos nativos de Windows. Los datos de las interfaces de red se
almacenan en el registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces

Si somos usuarios, no podremos cambiarlo. Si somos administradores...
debemos impedirnos a nosotros mismos y a todo lo que ejecutemos que
pueda modificar sus valores. Con el botón derecho sobre esa rama,
cambiamos los permisos y eliminamos el "control total" sobre los
administradores. Ya nadie podrá cambiar las propiedades de nuestras
interfaces de red. Esto es lo más efectivo (siempre que recuerdes que lo
has cambiado y reviertas la configuración cuando sea necesario).



Fuente : Hispasec

Comentarios

Publicar un comentario

Entradas populares de este blog

Corcho Pedagogico

De -
Imagen
Un Supervisor visitó una escuela primaria.        En su recorrida observó algo que le llamó la atención: una maestra estaba atrincherada atrás de su escritorio,los alumnos hacían un gran desorden; el cuadro era caótico.         Decidió presentarse:"Permiso, soy el Supervisor... ¿Algún problema?"         "Estoy abrumada señor, no sé qué hacer con estos chicos... No tengo láminas, no tengo libros, el ministerio no me manda material didáctico, no tengo recursos electrónicos, no tengo nada nuevo que mostrarles ni qué decirles..."          El inspector que era un "Docente de Alma", vio un corcho en el desordenado escritorio, lo tomó y con aplomo se dirigió a los chicos:          ¿Qué es esto? “Un corcho señor "....gritaron los alumnos sorprendidos.         "Bien, ¿De dónde sale el corcho?".         "De la botella señor. Lo coloca una máquina...", "del alcornoque... de un árbol"... "de la madera...",respondían a
Leer más

Significado oculto en los nombres de los programas

De -
Los números de versión son, en ocasiones, todo un enigma. Por lo general, nos dicen de dónde viene un programa y cuánto camino ha recorrido, siguiendo una notación más o menos estándar que refleja las  fases de desarrollo  de un programa. Sin embargo, nosotros creemos que el nombre y la versión de un programa puede decir mucho más. Es por ello que nuestro grupo de expertos lingüistas han interpretado  qué quieren decirnos los programadores con los términos más comunes . Son los siguientes: Alpha Tenía una idea interesante, pero me da pereza desarrollarla Beta Si tiene errores nadie podrá culparme de ello RC El jefe nos amenaza con la carta de despido si no lo terminamos ya RTM Igual a la version final, pero queremos que nuestros clientes se sientan especiales Stable No explota, pero está obsoleta. Unstable Contiene las novedades interesantes, si es que funcionan Build xx Yo compilo mis programas, ¿te enteras? 0.xx Me da vergüenza llamar programa a est
Leer más

El Bidet

De -
Imagen
En un chat multitudinario con amigos surgió un tema interesante: ¿Cómo usás el bidet? No "para qué", eso es sabido; sino, ¿cómo te sentás? La mayoría lo usábamos igual, sentados de espaldas a la pared, manejando las canillas al tacto; pero uno viene con una teoría irrefutable: "El bidet debe usarse de frente a la pared porque el cosito por el que sale el agua te queda justo en el hoyo, podés ver las canillas, la jabonera y la toalla". Tiene lógica, pienso. Cuando me toque, voy a probar. A la mañana siguiente, me tomo mi café... efecto instantáneo. Abrigadito con mi bata me juego un jueguito en el celu mientras hago lo que tengo que hacer en el inodoro. Termino. Hora del buche. Me acuclillo apenas y pivoteo en un pie dando medio giro, casi como en una coreografía de Ginger Rogers; y estaciono en una maniobra sobre el bidet, de frente a la pared. ¡Genial! Puedo acceder a las canillas,   mezclo la caliente con la fría hasta lograr la tibieza justa, manejo la presión
Leer más